Descripción General

Hoy fue liberado el Aviso de Seguridad 2269637 de Microsoft. Este aviso se diferencia de otros Avisos de Seguridad de Microsoft, pues no habla sobre vulnerabilidades específicas en los productos de Microsoft; mas bien, ésta es una guía oficial en respuesta a investigaciones de seguridad que han señalado un vector nuevo parar la clase de vulnerabilidad ya conocida y denominada Precarga de DLL o ataques de "siembra binaria" (Binary Planting). Estamos haciendo una indagación profunda sobre la forma en que este nuevo vector pudiera afectar productos Microsoft. Como siempre, si encontráramos algún riesgo específico en nuestros productos, lo direccionaremos de forma apropiada.

Detalle Técnico

Lo que esta nueva investigación establece es un nuevo vector para ataques Precarga de DLL . Estos ataques no son nuevos o únicamente relacionados a la plataforma Windows. Por ejemplo, los ataques PATH, que son similares, constituyen uno de los tipos de ataques más antiguos conocidos contra el sistema operativo UNIX. El ataque se enfoca en engañar a una aplicación para que cargue una librería maliciosa, cuando en realidad dicha aplicación piensa que es una librería de confianza. Para que esto pueda ocurrir de forma exitosa, la aplicación debe llamar a la librería de confianza usando solamente el nombre en vez de usar una ruta suficientemente calificada (por ejemplo, llamar a dllname.dll en vez de c:\Program Files\ Common Files\Contoso\dllname.dll). El atacante deberá colocar entonces, una copia de la librería maliciosa, en un directorio en donde el sistema buscará primero que el directorio donde se encuentra la librería real. Por ejemplo, si el atacante sabe que la aplicación simplemente llama a la librería usando dllname.dll (en vez de usar una ruta suficientemente calificada) y además está al tanto que el sistema buscará primero en el directorio activo antes de buscar en c:\Programs Files\Common Files\Contoso, basta sólo que copie la librería maliciosa con el nombre de dllname.dll en el directorio acual de la aplicación, de esa forma la aplicación cargará la librería maliciosa y se ejecutará el código del atacante en el contexto de seguridad de la aplicación.

Los Ataques PATH o Precarga de DLL han requerido hasta el momento, que el atacante siembre la librería maliciosa en el sistema cliente local. Esta nueva investigación delinea una forma en que un atacante pudiera ejecutar estos ataques colocando las librerías maliciosas en un network share. Bajo este escenario, el atacante debe crear un archivo de datos y una librería maliciosa que pueden ser usadas potencialmente por la aplicación, además debe postear dichos archivos un sitio de la red  donde el usuario tenga acceso, para luego convencerlo de que uso el mencionado archivo de datos. En ese momento, la aplicación cargaría la librería maliciosa y el código del atacante se ejecutaría en el sistema del usuario.

Debido a que este es un nuevo vector de ataque y no una nueva clase de vulnerabilidad, las mejores prácticas existentes para protegerse contra este tipo de vulnerabilidad, automáticamente protegen contra este nuevo vector: asegurarse que las aplicaciones hagan llamadas a librerías de confianza utilizando los caminos completos.

Mientras que la mejor protección consiste en usar las mejores prácticas antes señaladas, Microsoft está en la capacidad de proveer una capa adicional de seguridad ofreciendo una herramienta que puede ser configurada para inhabilitar la carga de librerías desde la red. Debido a que esta se puede alterar la funcionalidad con esta herramienta, recomendamos a nuestros clientes a evaluarla antes de implementarla. Como parte de la evaluación, recomendamos revisar la información en el blog de Security Research and Defense (SRD).

Continuaremos nuestro trabajo con investigadores y la industria para identificar y direccionar aplicaciones vulnerables. Como siempre, haremos actualizaciones con cualquier información que tengamos a través de nuestros avisos, boletines y blogs de seguridad de forma apropiada

Muchas Gracias

 

Eduardo Núñez
Director de Iniciativas de Seguridad y Privacidad
Microsoft Latinoamérica